为身份验证和授权配置 TACACS+ 服务器
Junos Space 网络管理平台支持对来自一个或多个 TACACS+ 服务器的用户进行身份验证和授权。(还支持 TACACS+ 和 RADIUS 服务器组合。)如果配置多个服务器,将在身份验证期间按用户界面中列出的顺序尝试这些服务器。如果访问的第一个服务器无法访问,或者存在共享密钥不匹配,则尝试下一个服务器。要了解启用远程身份验证的登录行为,请参阅 启用远程身份验证的 Junos Space 登录行为 主题。
在使用 TACACS+ 服务器对用户登录 Junos Space 平台进行身份验证和授权之前,必须确保:
您在 Junos Space Platform 中创建和配置 TACACS+ 远程身份验证服务器(请参阅 创建远程认证服务器)。
在 Junos Space Platform 中创建授权用户所需的远程配置文件(请参阅 创建远程配置文件)。
如果要允许远程身份验证和本地授权,则可以使用 Junos Space Platform 中的 基于角色的访问控制 工作区创建用户帐户(请参阅 在 Junos Space 网络管理平台中创建用户)。
TACACS+ 服务器中的授权数据以属性-值对 (AVP) 存储。AVP 包含远程配置文件的名称。因此,您必须使用与在 Junos Space 服务器中创建的远程配置文件对应的 AVP 来配置 TACACS+ 服务器中的用户,以表示用户的角色。
当 Junos Space 网络管理平台查询 TACACS+ 服务器以寻求用户授权时,TACACS+ 服务器的 junosspace-exec 服务会返回该用户的远程配置文件名称。Junos Space 网络管理平台根据此响应确定用户的角色。
要使用远程配置文件名称为用户分配角色,可以为 TACACS+ 服务器上的 junosspace-exec 服务配置网络管理配置文件 AVP。
以下示例说明如何向 TACACS+ 服务器添加配置信息,以便为用户分配远程配置文件:
user = guestuser { pap = cleartext "<password>" service = junosspace-exec { network-management-profiles = guest_profile } }
有关配置 AVP 以及将 Junos Space 远程配置文件分配给 TACACS+ 服务器中的用户的详细信息,请参阅 TACACS+ 服务器文档。